Nos referimos con tal expresión al cumplimiento de las obligaciones que la Ley exige en el sentido de las cautelas, medidas y acciones que hemos de aplicar en todo aquello concerniente al tratamiento – a través de Internet o fuera de la red – de cualquier dato de carácter personal que poseamos de terceras personas, físicas, y que alberguemos en nuestros ordenadores o bases de datos. Están excluidas por tanto las personas jurídicas ( empresas, entidades, instituciones, ... ) pero no los datos de las personas físicas. Tampoco hay que aplicar la ley cuando tales datos los poseamos con una finalidad puramente doméstica ( como los datos que poseamos de nuestras amistades en una agenda electrónica, por ejemplo ).

¿ Cuáles serían las obligaciones básicas ?

Por un lado, tenemos que inscribir en el Registro General de Protección de Datos, sito en Madrid, la existencia de los ficheros de datos que poseamos. Dicho trámite se puede hacer a través de Internet, aunque hay también que remitir en formato papel – a través de Correos basta – determinada documentación. Cuando hablamos de inscribir los ficheros no nos referimos a comunicar el contenido concreto del mismo, sino el nombre de dichos ficheros, qué tipo de datos tiene, y su estructura, aparte de otras circunstancias más.

Por otro lado, hemos de elaborar, y aplicar, el llamado documento de seguridad, el cual contendrá las medidas de seguridad que tendremos que aplicar, con la finalidad siempre de impedir el acceso no autorizado por parte de alguien a dichos datos. Tales medidas de seguridad serán variables, dependiendo del tipo de datos, y así unas serán más estrictas que otras, al igual que las sanciones en caso de incumplimiento serán más severas a mayor sea el nivel de seguridad incumplido.

A su vez, hemos de facilitar a los titulares de dichos datos el ejercicio de determinados derechos, siendo los más básicos los de acceso, cancelación, oposición y rectificación en relación a los mismos, advirtiéndoles también de la posibilidad legal que tienen de ejercitar los mismos.

Y por último, no hemos de olvidar tampoco la obligación que recae sobre el titular del fichero en relación a realizar una auditoría de protección de datos cada dos años, con la finalidad de comprobar la adecuación a la Ley de las medidas de seguridad y demás obligaciones recogidas en la normativa existente al respecto.

¿ Qué sanciones puede haber en caso de incumplimiento ?

En su grado máximo podrían llegar a 600.000 euros – cien millones de pesetas -, y en el mínimo comenzaría su tramo en 600 euros, pudiendo llegar a 60.000 euros – diez millones de pesetas -.

Ejemplo de infracción grave que podría originar la apertura de un procedimiento sancionador que terminase con la imposición de una sanción grave podría ser, por ejemplo, que en datos referentes a la salud, ideología, religión, creencias, origen racial o vida sexual, al enviarlos por la red no lo hiciésemos usando para ello técnicas de cifrado o encriptación, o cualquier otro método o mecanismo que impida que durante su tránsito o viaje por la red dicha información sea inteligible o manipulada por terceros.

Ejemplo de infracción de grado medio – sanciones de 60.000 a 300.000 euros ( 10 a 50 millones de pesetas ) podría ser la consistente en que teniendo en nuestros ordenadores datos de tipo de servicios financieros, o referentes a sanciones administrativas – una mera multa de tráfico o de hacienda lo es – no hayamos realizado la auditoría que prevé la Ley.

Y ejemplo de infracción leve lo sería la no realización de la inscripción en Registro General de Protección de Datos, previsto en la Ley Orgánica de Protección de Datos.